Спамеры рассылают вредоносные письма от имени МГУ и других университетов

Спамеры рассылают вредоносные письма от имени МГУ и других университетов

Спамеры рассылают вредоносные письма от имени МГУ и других университетов

«Лаборатория Касперского» предупреждает о вредоносных рассылках, использующих названия известных ВУЗов. С начала года защитные решения ИБ-компании в среднем блокируют несколько десятков таких спам-писем в сутки, однако 13 апреля произошел мощный всплеск — в этот день было обнаружено около 2 тыс. поддельных сообщений в рамках текущей вредоносной кампании.

Рассылая свои приманки на адреса корпоративной почты, злоумышленники снабжают их логотипами уважаемых учебных заведений. Так, в Kaspersky зафиксировали нелегальное использование таких имен, как МГУ им. М. В. Ломоносова, Бухарестский университет, Рейнско-Вестфальский технический университет в Ахене, Университет Аристотеля в Салониках, Анкарский университет, Автономный университет штата Нуэво-Леон (Мексика), Католический университет Боливии.

Фальшивки оформлены как деловое предложение, с которым получателю предлагается ознакомиться, открыв прикрепленный архив или офисный документ с макросом. Иногда имя вложения намекает, что там содержится смета по проекту, описание заказа или прайс-лист.

 

На самом деле в этом файле скрывается вредонос, использующий уязвимость в устаревших версиях программ из набора Microsoft Office. С его помощью злоумышленники смогут загружать на машину жертвы дополнительные файлы, выкачивать конфиденциальные данные (пароли, документы), запускать выполнение команд для развития атаки.

«Для убедительности злоумышленники используют логотипы университетов и ссылаются на какого-либо известного сотрудника вуза, — комментирует Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского», — Однако при внимательном прочтении обнаруживается, что, во-первых, адрес, с которого пришло сообщение, часто не имеет отношения к университету. Во-вторых, несвязность текста наводит на мысль, что это автоматический перевод с другого языка — то, чего, скорее всего, не допустит представитель вуза. Более того, в рассылке часто используется классический прием спамеров — исполняемый файл с двойным расширением вроде .pdf.exe».

Рекомендации по профилактике заражений в этом случае просты:

  • не доверять письмам с незнакомых адресов, особенно когда речь идет о персональных данных или денежных переводах, а также при наличии подозрительных аттачей;
  • повышать уровень цифровой грамотности, в организациях — за счет тренингов, сфокусированных на социальной инженерии;
  • использовать надежные средства защиты электронной почты.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ФБР закрыло BreachForums: ShinyHunters объявили об окончании эпохи форумов

ФБР совместно с французскими правоохранителями провело крупную операцию по ликвидации всех доменов хакерского форума BreachForums, который управлялся группировкой ShinyHunters. Этот ресурс использовался как площадка для публикации корпоративных данных, украденных в ходе атак вымогателей.

По данным BleepingComputer, захват инфраструктуры прошёл ночью 9 октября — как раз перед тем, как связанные со структурой Scattered Lapsus$ Hunters хакеры собирались выложить данные, похищенные из Salesforce.

Теперь на месте BreachForums размещена стандартная страница ФБР о конфискации домена — её DNS-серверы изменены на официальные адреса, используемые бюро при изъятии ресурсов.

 

ShinyHunters признали поражение

После блокировки администраторы ShinyHunters подтвердили в Telegram (сообщение подписано их PGP-ключом), что форум действительно захвачен, и добавили:

«Эта конфискация была неизбежной. Эра форумов закончилась».

По словам группы, все резервные копии BreachForums с 2023 года, включая эскроу-базу данных, теперь находятся под контролем правоохранителей. Также были изъяты бэкенд-серверы форума. При этом дарквеб-сайт ShinyHunters с утечками данных пока остаётся онлайн.

Хакеры утверждают, что ни один из ключевых администраторов не арестован, но запускать новый BreachForums они не будут, предупредив, что любые будущие «форумы» под этим именем могут оказаться ловушками (honeypots).

Утечки Salesforce всё ещё в силе

ShinyHunters подчеркнули, что захват BreachForums не повлияет на их кампанию против Salesforce — данные, по их словам, всё равно будут опубликованы в установленный срок.

На даркнет-портале группы уже опубликован список компаний, якобы пострадавших в этой утечке — среди них FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Air France & KLM, HBO MAX, UPS, Chanel и IKEA.

Хакеры утверждают, что получили доступ более чем к миллиарду записей с информацией о клиентах.

Что это был за BreachForums

В отличие от старой версии одноимённого форума, закрытого ранее, эта итерация BreachForums не была «классическим» хакерским форумом, а служила площадкой для публикации данных и проведения кампаний по шантажу крупных компаний, вроде недавнего кейса с Salesforce.

Эта версия форума появилась в июле 2025 года, вскоре после ареста четырёх администраторов предыдущих «перезапусков» проекта во Франции. В США в то же время были предъявлены обвинения известному участнику BreachForums под ником IntelBroker (Кай Вест).

В середине августа сайт уже уходил в офлайн — тогда ShinyHunters предупреждали, что инфраструктура захвачена ФБР и французским подразделением BL2C, и заявляли, что «нового перезапуска больше не будет».
Похоже, теперь это обещание сбылось окончательно.

В прошлом месяце мы сообщали, что Министерство юстиции США объявило о пересмотре приговора Конору Брайану Фицпатрику, 22-летнему жителю Пикскилла (штат Нью-Йорк). Он получил три года тюрьмы за создание и администрирование BreachForums — одного из крупнейших англоязычных хакерских форумов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru